情報処理安全確保支援士の試験でも出題される、HTTPレスポンスヘッダについてです。
HTTPレスポンスヘッダは、クライアント(ブラウザ)がHTTPリクエストを送信すると、HTTPレスポンスがWebサーバから返ってきますが、そのHTTPレスポンスの構成要素の一つです。
HTTPレスポンスヘッダの種類
ヘッダ | 詳細 |
Set-C∞kie | Webサーバが発行したCookieをブラウザへ送ります。 |
X-Frame-Options | クリックジャッキング攻撃対策のために指定します。
設定できるパラメタは下記のとおりです。
|
Location | ブラウザに対してリダイレクト先のURLを通知します。 |
HSTS | ブラウザに対してHTTPS通信を強制します。
ブラウザは次回からHTTPSで接続するようになりますが、初回のアクセスがHTTPになる可能性があります。 そのため「HSTSプリロード」という機能で、初回のアクセスからHTTPSで接続させるため、あらかじめサイトのリストを登録して公開しておきます。HSTSプリロードに対応するブラウザは、リストに従い初回からHTTPSで接続します。 ヘッダ内のmax-ageフィールドでHTTPS接続の有効期間を指定します。 |
Cache-Control | 経路中の装置に対するキャッシュ動作を通知します。経路中の装置は プロキシサーバなどです。Cache-Controlは、HTTPリクエストヘッダにおいて指定することもあります。キャッシュを有効にすると、ブラウザからのインターネットアクセスが早くなるといった効果がありますが、下記のようなセキュリティ上の問題があります。
上記の問題に対しては、キャッシュを制限することが有効です。
|